Segurança da Informação


O início é o começo

Sempre que eu tenho que iniciar algum projeto na companhia em que trabalho ou até mesmo em minha vida pessoal, me pergunto o que realmente eu quero conseguir com aquele esforço: onde afinal eu quero chegar com isso?

tela de entrada de um sistemaAo me responder esse questionamento, automaticamente minha mente é avassalada por uma infinidade de outras perguntas, como por exemplo “como?” conseguir realizar aquilo que determinei como meta da minha empreitada. Com o passar dos anos e ás vezes, a custa de alguns cabelos brancos, aprendemos que saber com clareza o que se quer e ter a disciplina necessária para manter o foco em nossos objetivos é primordial para os alcançarmos com sucesso.

As coisas não acontecem de forma muito diferente no campo da segurança da informação. Embora possa parecer redundante, vamos iniciar pelo começo: Buscar definir claramente o que significa realmente segurança da informação. Para não despertar a ira dos puristas, fomos à ISO17799, que é o código de práticas internacional e padrão de facto para gestão da segurança da informação adotado pelo mercado buscar a definição para segurança da informação (vamos falar mais sobre esse documento em outros artigos). Segundo a norma, entende-se por segurança da informação, a preservação das seguintes propriedades da informação:

Confidencialidade:
Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Integridade:
Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

Disponibilidade:
Garantia de que os usuários autorizados obtenham acesso a informação e aos ativos correspondentes sempre que necessário.

Fácil não é? Na verdade, nem sempre. Mas em todo caso, agora, com o auxílio da definição acima, vamos concentrar o nosso foco no verbo que nos foi apresentado: preservar. Mas preservar o quê? Ah sim! A Confidencialidade, Integridade e Disponibilidade dos Ativos de Informação. A propósito, ativos de informação são aquelas “coisas” que usamos para armazenar, transmitir e processar informações (Ex.: pedaço de papel, computadores, redes, discos rígidos, banco de dados, fitas etc..).

Bem, já entendemos nossa missão, o que temos que fazer agora é priorizar o que é realmente importante.

Antes de tudo, vamos, através de uma análise de riscos criteriosa, eleger os ativos de informação mais críticos para sua organização, saber qual destes está mais vulnerável no momento, e por conseqüência, precisa ser protegido mais emergencialmente e finalmente, também determinar onde serão empregados os maiores recursos (lembrando sempre que as medidas necessárias à contenção dos riscos inicialmente levantados deverão ser aplicadas seguindo a ordem de criticidade do impacto das perdas deste ativo para os negócios da companhia).

Uma dica importante: Se você não tem um profissional de segurança no seu staff, não faça economias, é melhor contratar um consultor experiente pois segurança é coisa séria e por sua complexidade, não se deve regatear. Vale o velho ditado que diz que é sempre mais custoso remediar do que prevenir.

A partir daí, começamos a escrever as políticas de segurança que serão as regras que, devidamente implementadas (e somente se saírem do papel), irão proporcionar a sua empresa, as bases de um sistema de gestão da segurança eficaz e que fornecerá as definições que garantirão um ambiente de trabalho confiável a todos os usuários. Estes documentos devem deixar claro O QUE é necessário para alcançarmos um nível de segurança adequado. A primeira e fundamental política a ser implementada é a de classificação da informação. Ela determinará critérios para classificar e manipular cada informação dentro do ambiente corporativo. No próximo artigo iremos falar mais detalhadamente sobre ela...até lá.

Carlos Santanna - Security OfficerCarlos Santanna trabalha como Security Officer de uma multinacional.
carlos.santanna@internativa.com.br