Manter a Segurança da Informação
As organizações necessitam de um grande nível de segurança na mesma proporção que mais informações são manipuladas por sistemas de informação. Crescentemente, as empresas têm que garantir e demonstrar níveis aceitáveis de confidencialidade, disponibilidade e integridade da informação além dos aspectos de legalidade e autenticidade. Existem diversas informações manipuladas diariamente pelo setor tecnológico das empresas, como: identidade, CPF, endereço residencial, senhas de acesso, informações bancárias, médicas e até a rotina e horário de trabalho. A segurança da informação deve ser mantida por causa do seu valor, ou pelo impacto da ausência dela; pelo impacto resultante de uso por terceiros; pela ralação de dependência com sua atividade. TI tem que garantir com a segurança das informações durante seu manuseio, armazenamento, transporte, descarte, nos ativos físicos, tecnológicos e humanos que as custodiam.
Manter a segurança das informações no cenário atual é mais um dos grandes desafios de TI, levando-se em conta o aumento das vulnerabilidades e ameaças. Um dos motivos é a crescente necessidade de publicar e acessar informações via web. Daí, surge o espaço para ataques de hakers e entrada de novos vírus nas redes, além da exposição das informações da empresa.
As normas NBR ISO/IEC 27001 e 17799 que são produzidas pela ABNT, definem padrões e metodologias para ajudar as organizações a garantir a Segurança de dados. É recomendável às empresas algum investimento em observar estas normas, para se certificar do que precisa ser atingido para garantir uma segurança de informação eficaz. Essas normas definem 133 modelos de controle que podem ser utilizados pela organização.
Quando analisadas de perto, estas normas demonstram um ponto interessante em relação a gestão da de segurança da informação: nem toda informação deve estar sobre todos os controles sugeridos. Para cada ativo da empresa, deve ser avaliado o risco (baseado em ameaça e vulnerabilidade*), para definir qual o controle de segurança que deve ser exercido em cada ativo. Caso não seja atribuído determinado controle de segurança a um ativo, ele deve ser justificado. O que significa que segurança é mais um atributo da informação que exige competência da gestão em relação a balança entre custo e risco.
O ROI nem sempre justifica a redução do risco. Segurança deve ser mantinda de acordo com a importância do ativo para os serviços vitais do negócio.
* Ameaça = probabilidade de algum fato ocorrer.
Vulnerabilidade = o quanto o ativo está propício a falhar, caso o fato ocorra.
