Segurança na Tecnologia da Informação
O tema Segurança da Informação desperta interesse em todos que utilizam a tecnologia, desde presidentes de empresas a funcionários comuns. Isto ocorre, principalmente, porque a segurança cobre diversas áreas, tais como: segurança física, infraestrutura tecnológica, aplicações e conscientização organizacional, cada uma delas com seus próprios riscos, ameaças potenciais, controles aplicáveis e soluções de segurança que podem minimizar o nível de exposição ao qual a empresa está exposta, com o objetivo de garantir segurança para o seu principal patrimônio: a informação.
Normalmente, quando o assunto segurança é discutido, as pessoas associam o tema a hackers e vulnerabilidades em sistemas, onde o principal entendimento é de que a empresa precisa de um bom antivírus, um firewall e ter todos os seus “patches” aplicados no ambiente tecnológico. Não há dúvida de que são questões importantes, porém a Segurança da Informação não está limitada a somente esses pontos. Uma empresa que atua em Segurança da Informação, deve estar atento a itens como: ambiente, tecnologia, processos e pessoas. Em cada uma dessas vertentes surgem diversas iniciativas, por exemplo, Políticas, Normas e Procedimentos, Controle de Acesso (Físico e Lógico), Auditoria, Questões Legais, Continuidade de Negócios, Criptografia, Gerenciamento de Incidentes, Segurança da Rede, Conscientização dos Usuários, dentre outros.
Fundamentalmente a Segurança da Informação está calcada em três princípios básicos: Confidencialidade, Integridade e Disponibilidade.Confidencialidade, diferente de ser um segredo ou algo inacessível, é um conceito no qual o acesso à informação deve ser concedido a quem de direito, ou seja, apenas para as entidades autorizadas pelo proprietário ou dono da informação.
Já o conceito de Integridade está ligado à propriedade de manter a informação armazenada com todas as suas características originais estabelecidas pelo dono da informação, tendo atenção com o seu ciclo de vida (criação, manutenção e descarte). E por fim, o conceito de Disponibilidade deve garantir que a informação esteja sempre disponível para uso quando usuários autorizados necessitarem. O estabelecimento de um Programa de Segurança da Informação em sua empresa deve passar sempre por ações que norteiem esses princípios. Tal modelo deve estar amparado por um Sistema de Gestão de Segurança da Informação que precisa ser planejado e organizado, implementado, mantido e monitorado.
Muitas organizações não seguem esta abordagem no desenvolvimento, implementação e manutenção de seu programa de gestão de segurança. Isso é porque talvez não conheçam, ou entendam que essa abordagem é de difícil implementação ou uma perda de tempo. As organizações estão cada vez mais expostas às ameaças que surgem sobre as informações. Necessita-se de atenção especial para a segurança dos dados através de metodologia amplamente utilizada baseada em 4 pilares:
-
Inspeção: Uso de equipamentos específicos para varredura eletrônica e física dos ambientes críticos e sistemas de comunicação, auxiliando na busca por ameaças ativas de vazamento de informações;
-
Conhecimento: Identificação das vulnerabilidades e orientação do melhor plano de ação para a proteção;
-
Prevenção: Análise pragmática e aplicação de ferramentas na prevenção dos riscos relacionados;
-
Monitoramento: Soluções eficazes e largamente testadas que atuam na identificação de ameaças ao negócio.