Sendo um conceito tão abrangente e de certa forma cultural, formalizar a segurança é uma tarefa um tanto quanto difícil. Quando falamos de segurança da informação, que é algo não palpável entramos em uma situação mais difícil ainda.
Para que nosso estudo de segurança da informação possa fluir primeiro temos que definir o que é segurança. De acordo com o dicionário Priberam de língua portuguesa, segurança possui 11 definições diferentes. Dentre as quais as definições úteis para nosso estudo são:
·“Qualidade do que é ou esta seguro”;
·“Conjunto de ações e dos recursos utilizados para proteger algo ou alguém”;
·“O que serve para diminuir riscos ou os perigos.”;
Assim, podemos concordar que Segurança da Informação é o Conjunto de Ações e recursos utilizados para deixar a Informação livre de Riscos. Mas o que é informação? Neste contexto informação é o conhecimento. Todo o conhecimento estratégico de um governo, corporação ou empresa deve possuir níveis de segurança adequados. São informações altamente importantes e estratégicas:
·a localização de tropas de infantaria em uma ação militar;
·A existência de reservas minerais como ferro e ouro em determinada região;
·O algoritmo que torna um software excepcionalmente mais rápido que um concorrente no mercado;
·Os ingredientes, porções e forma de preparo do chocolate líder de mercado;
·Uma promoção que a empresa irá lançar para tentar aumentar as vendas.
Portanto, toda a informação que possa por em risco a lucratividade de uma empresa, o sucesso de uma estratégia governamental ou ainda a imagem de uma corporação seja por perda de sua integridade, por não ser repassada as pessoas que necessitam dela em tempo hábil ou ainda por cair em conhecimento de pessoas indevidas. Desta observação nasce a Tríade ou Pirâmide da Segurança da Informação (SI):
·Integridade: O conteúdo preservado da informação deve ser preservado e modificado apenas por pessoas ou sistemas autorizados. Deve se garantir que não ocorrerá perdas ou acréscimos a informação, seja essa modificação intencional ou acidental. Exemplo de modificação: O meio de transmissão sofre uma interferência magnética que altera o valor de alguns bytes, alterando assim o conteúdo recebido.
·Disponibilidade: A informação deve estar disponível sempre que necessária para quem dela necessita. Permitindo assim que a empresa faça transações rápidas ou tome decisões em tempo ágil. Exemplo: Um tropa de infantaria perde contato com o quartel e não pode receber a informação que outra tropa inimiga se aproxima.
·Confidencialidade: A informação pode ser acessada apenas por quem tem permissão de acessá-la e dela necessita para suas tarefas diárias. Exemplo: O salário pago ao gerente deve ser de conhecimento apenas do setor de recursos humanos e do próprio gerente.
Historicamente podemos citar exemplos de fracassos ou problemas por empresas ou governos que não se importaram com a segurança da informação.
Confidencialidade:
Vazamento de informação Petrobras
Disponibilidade:
Sistema Mastercard Indisponível na véspera de natal
Integridade:
Adulteração de código de barras envia pagamento para empresa fantasma
Para pensar e pesquisar:
Que danos, se algum, o vazamento de informações pode causar a imagem de uma empresa? Como isso pode ser utilizado para criar especulação na bolsa de valores?
Se você é cliente de duas operadoras de cartão e uma delas está indisponível o que faz? Adia a compra ou utiliza a outra operadora? Baseado na sua resposta que tipo de prejuízos a Mastercard enfrentou por ficar indisponível na véspera de Natal?
Além do golpe do cartão de crédito, pense em qual outro tipo de golpe pode causar dano adulterando-se um documento?
O que é segurança?
A obra Introdução a Gestão de Segurança da informação. de Thiago Glauco Sanchez foi licenciada com uma Licença Creative Commons - Atribuição - Partilha nos Mesmos Termos 3.0 Não Adaptada.
