A Informação: O maior patrimônio de uma organização

A Informação: O maior patrimônio de uma organização

Giliard Francisco da Silva(1)
Tiago Rodrigo Coelho da Silva Oculati (1)
(1)Faculdade de Informática de Presidente Prudente (FIPP)
Universidade do Oeste Paulista (UNOESTE)

Resumo

Com a crescente e contínua evolução tecnológica, deu-se início a era da inclusão digital, onde a informação é considerada o principal patrimônio de uma organização, o que levou cada vez mais a se preocuparem em obter informação e proteger este patrimônio. Porém, com o avanço veio também a necessidade de se buscar novas soluções contra a vulnerabilidade, ameaças e falhas, tanto no meio computacional, quanto em relação a gestão de pessoas. Este artigo tem como principal objetivo conscientizar a importância da preservação do patrimônio informacional, através de métodos e normas técnicas a fim de garantir a confidencialidade, integridade e disponibilidade da informação.
Palavras-chave: Informação, Organização.

1 Introdução

“São as práticas, os procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades...”(SÊMOLA, 2003)
O tema Gestão da Segurança da Informação no contexto conscientização apresenta-se para as empresas à preocupação em se protegerem cada vez mais dos ataques por hackers e novos vírus que surgem. Com o crescimento da inclusão digital em toda parte do mundo, o acesso à informação está mais fácil. O reflexo deste novo panorama traduz-se em episódios cada vez mais freqüentes de saques eletrônicos indevidos, clonagem de cartões de crédito, acesso a bases de dados confidenciais, dentre inúmeras outras ameaças. (LOSS CONTROL, 2002).
De acordo com Dias (2000) na sociedade da informação, a informação é o principal patrimônio da empresa e está sob constante risco. As empresas já perceberam que o domínio da tecnologia como aliado para o controle da informação é vital. O controle da informação é um fator de sucesso crítico para os negócios e sempre teve fundamental importância para as corporações do ponto de vista estratégico e empresarial (MARTIN, 1991).
A informação desempenha papéis importantes tanto na definição quanto na execução de uma estratégia (REZENDE, 2000). Ainda segundo Rezende (2000) a informação e o conhecimento serão os diferenciais das empresas e dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade. A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa (SÊMOLA, 2003).
As empresas passaram a ser preocupar muito mais com a conscientização do funcionário, em se manter a ética profissional. Um funcionário insatisfeito pode trazer inúmeros problemas para a empresa, levando uma informação valiosa ou uma estratégia que foi usada para atingir novos resultados, entre outros.
O valor estratégico da segurança da informação é de fortalecer as pernas da empresa para que seus braços possam desenvolver todo seu potencial comercial (MANUNTA, 2004).

2 Conceitos de Segurança e Informação

O que é informação?

Segundo o Aurélio (1999), informação é um dado acerca de alguém ou algo; o conhecimento; segundo a teoria da informação, a medida da redução da incerteza.
A informação pode ser classifica em quatro tipos principais:
Pública: São informações distribuídas sem restrições, voltadas ao público.
Interna: São as informações de interesse específico, que pertencem a funcionários de uma empresa.
Particular: Possui um âmbito mais pessoal, ou como o próprio nome diz particular. É aquela que se por ventura cair em mãos erradas prejudicará não somente a empresa, e sim principalmente o próprio funcionário.
Confidencial: É a informação mais valorizada de uma determinada empresa. Somente alguns membros devem saber tal informação. São as informações operacionais da empresa, de marketing, enfim informações que possuem segredos comerciais da empresa (aquisição de ações, código fonte, etc.).
“A informação representa a inteligência competitiva dos negócios e é reconhecido como ativo crítico para a continuidade operacional da empresa”. (SÊMOLA, 2003)

O que é segurança da informação?

De acordo com Sêmola (2003), “Podemos definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”.
A Segurança da Informação deve proteger não somente as informações de uma determinada empresa, como também as informações pessoais, ou seja, aplica-se tanto as informações corporativas quanto as pessoais.
De acordo com a norma ISO/IEC 17799:2001, segurança da informação pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo a ISO/IEC 17799:2001 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade.
Os três atributos básicos podem ser aplicados da seguinte maneira:
Confidencialidade: limita o acesso a somente entidades autorizadas pelo proprietário da informação.
Integridade: não permite que ocorra alterações na informação, ou seja, a informação manipulada deve manter todas as características originais estabelecidas pelo proprietário da informação.
Disponibilidade: garante que a informação esteja sempre disponivel as entidades autorizadas pelo proprietário da informação.
Além dos citados acima, existem outros fatores relevantes a serem observados como por exemplo:
• Autenticidade;
• Garantia da identidade dos usuários;
• Controle das operações individuais de cada usuário através do log;
• A prevenção de interrupções na operação de todo o sistema (hardware / software).

3 Conceitos de Gestão de Informação

De acordo com Mañas (1999),”A Informação é um processo pelo qual a empresa informa-se sobre ela própria e seu ambiente, e por ele informa ao seu ambiente sobre ela mesma”.
A gestão da informação pode ser vista na empresa de duas maneiras:
a) função por função, serviço por serviço, cada um por si;
b) globalmente, em nível das áreas e da empresa. (MAÑAS, 1999).

O principal objetivo da gestão da informação é de apoiar a política global da empresa, para que se tornem mais eficientes o conhecimento e o tratamento da informação, auxiliando então na evolução organizacional da empresa. Resumidamente é fazer a informação chegar a(s) pessoa(s) que necessita(m) dela, no momento que se necessita dela. Para que a gestão de informação funcione corretamente, a mesma possui as seguintes atividades: busca, identificação, classificação, processamento, armazenamento e disseminação, podendo não envolver todas as atividades citadas. Atividades detalhadas a seguir:
Busca: escolha de fontes de informações confiáveis que se enquadrem nos critérios de qualidade da informação definidos pelo profissional da informação junto ao cliente (ou usuário);
Identificação: utilizar informações relevantes que atendam as necessidades do cliente (ou usuário);
Classificação: agrupar as informaçãos de acordo com as características e propriedades identificadas, para facilitar o tratamento e processamento;
Processamento: tratar a informação, adequando-a ao melhor formato para facilitar o seu uso e compreensão;
Armazenamento: utilizando-se técnicas de classificação e processamento, armazenar as informações para facilitar o seu acesso quando necessário. Obs: esta etapa somente é realizada quando há um propósito especificado, pois muitas vezes a informação é de uso imediato e perde seu valor quando não utilizada no momento certo.
Disseminação: consiste em fazer com que a informação chegue a quem dela precisa no momento certo.
Realizar a gestão da informação não é papel de uma profissão específica, mas sim de pessoas que tenham competências necessárias para tal atividade. É comum encontrar em organizações, pessoas que exercem tais atividades e têm as mais diversas formações, tais como: administração, informática, engenharias, ciências econômicas, entre outras. Porém, existem profissionais com formação específica para trabalhar com a gestão da informação (seja em parte ou em todo o processo) e que dominam os aspectos inerentes à informação - são os profissionais da informação. Pode-se identificar algumas destas formações: biblioteconomia, ciência da informação; documentação; gestão da informação; comunicação social; informática; entre outras.
(WIKIPEDIA, 2007)

4 Riscos à Segurança

Segundo Sêmola (2003) riscos é “probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios”.
Perda de Confidencialidade: ocorre quando existe uma quebra de sigilo de uma informação específica, ous seja, informação deixa de ser confidencial a um determinado grupo, e passa a ser acessível a outro(s) usuário(s).
Perda de Integridade: ocorre quando uma informação perde sua forma original. Pessoa não autorizada e de posse de determinada informação, efetua alterações sem aprovação e sem o controle do proprietário (corporativo ou privado) da informação.
Perda de Disponibilidade: ocorre quando informação não está mais disponível a entidade que necessita dela. Na maioria das vezes acontece a perda de comunicação com um sistema importante para a empresa, com a queda de um servidor de uma aplicação crítica de negócio.

5 Métodos de Segurança

São as formas de obter ou planejar segurança. Na maioria das vezes são baseados na política de segurança definada pela empresa, onde são estabelecidos princípios que devem ser perseguidos e mantidos. Em sua obra Boghi (2002) ressalta, “Quanto à segurança da informação, sempre é bom lembrar que há diversos aspectos de segurança a considerar: a segurança contra vírus de computador, a segurança contra furtos de informação e/ou equipamentos e/ou software, a segurança contra fraudes informatizadas,etc.”
Para a montagem desta política, deve-se levar em conta: riscos associados à falta de segurança; benefícios; custos de implementação dos mecanismos e mecanismos de segurança.
O suporte para as recomendações de segurança pode ser encontrado em dois controles:
1. Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta, como: (Portas, trancas, paredes, blindagem e etc.).
2. Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado, como: (criptografia, assinatura digital, etc..).
(WIKIPEDIA, 2007)

6 Política de Segurança

Política de segurança é um conjunto formal de normas e regras estabelecidas pela empresa que devem ser seguidas pelos usuários dos recursos de uma organização, de forma a evitar possíveis ameaças e combate-las de forma eficaz.
Deve definir claramente as responsabilidade de todos os usuários, pode ser adaptada a possíveis alterações na organização, deve também ser um documento de fácil leitura e compreensão, além de resumido.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).
Os elementos da política de segurança que devem ser considerados são:
A Disponibilidade: o sistema deve estar disponível de forma que a qualquer momento o usuário possa utilizá-lo. Dados críticos devem estar disponíveis ininterruptamente.
A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
(WIKIPEDIA,2007)

Políticas de Senhas

A composição de senhas é motivo de dor de cabeça para diversas corporações, pois por um lado existem profissionais com dificuldade de memorizar várias senhas de acesso, por outro, funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, chegando a anotar a senha até no monitor.
Para maior segurança, várias corporações adotam um tempo de vida útil, que é pré-determinado pela equipe de segurança, ficando o usuário com acesso bloqueado caso não troque sua senha. Todas as senhas são testadas diariamente pela equipe de segurança em busca de fragilidades.
Mas de nada adianta tanto esforço se o usuário continuar a tomar as medidas que foram citadas anteriormente, por isso vale seguir algumas dicas:
Nunca passe sua senha a alguém, nem mesmo da equipe de segurança. Caso desconfie que sua senha não está mais segura, sinta-se à vontade para mudá-la, mesmo antes do prazo determinado de validade, pois tudo que for executado com a sua senha será de sua inteira responsabilidade, então tome muito cuidado e seja cauteloso para manter a sua senha de forma sigilosa.
Para ser considerada segura, especialistas recomendam que a senha contenha no mínimo 6 caracteres alfanuméricos (letras e números) com diferentes caixas, alguns recomendam 8 caracteres.
Para facilitar a memorização das senhas, utilize padrões mnemônicos.

Por exemplo:
IoMpDuO (INFORMAÇÃO o MAIOR patrimônio DE uma ORGANIZAÇÃO).
s3Nh45 (palavra senhas onde as letras foram substituídas por números: E=3,A=4 e S=5).

7 Como avaliar a segurança da informação em uma empresa

A Fujitsu Ltda Brasil sugere um questionário com a finalidade de avaliar a gestão da segurança em uma organização, para que a mesma possa realizar uma auto-crítica.

1. Existe uma política de segurança global, de conhecimento geral em toda a organização?
2. Estão definidos e identificados responsáveis pela segurança da informação?
3. Existe uma classificação da informação, e estão definidos mecanismos de controle?
4. É ministrada formação em segurança a todos os colaboradores da organização?
5. Os sistemas TI críticos de negócio estão em áreas seguras, protegidos através de mecanismos físicos?
6. Existem procedimentos de segurança definidos para a gestão e operação de redes e sistemas de TI?
7. Estão implementados mecanismos de controle de acesso à informação?
8. Os requisitos de segurança são equacionados na fase de desenho de novos sistemas de TI?
9. Existe um plano de continuidade de negócio, testado e revisto regularmente?
10. A organização está em conformidade com a legislação em vigor no que respeita à recolha, tratamento e proteção da informação?

8 Considerações Finais

Diante do exposto pode-se observar que a informação é apontada como um dos ativos mais importantes em uma organização, com o agravante que a recuperação da informação pode ser muito mais onerosa do que equipamentos físicos, tornando-se um dos processos de disciplina para a valorização da empresa, tão ou mais importante que a gestão do risco operacional, financeiro entre outros.
A informação é um fator decisivo na gestão, por ser um recurso importante e indispensável, quanto mais confiável, mais integra será a empresa, aumentando seu potencial quanto aos ataques dos concorrentes, obrigando as empresas a repensar a forma como se mantêm vigilantes e capazes de antecipar às mudanças, que possam afetar a sua competitividade e conseqüentemente a sua sobrevivência.
Deve-se sempre estar muito atento ao comportamento dos funcionários, pois de nada adianta investir em segurança, se não priorizar a conscientização do homem, o que adianta possuir senha criptografada, se o usuário a anota no fundo de sua gaveta, ou pior, a anota em um papel e cola em seu monitor, porque é mais fácil de se lembrar. Deve-se sim investir em segurança, mas sem se esquecer de investir em uma politica de concientização. Explicar ao usuário que ele é a peça fundamental para a proteção da informação, e que sérios danos podem acontecer se informações confidenciais saírem da empresa, danos estes que podem ser desde a perda de credibilidade da empresa até o seu fechamento.
Conclui-se então que o maior inimigo da segurança é o próprio homem, seja ele um agente externo ou até mesmo interno, onde através de espionagens, invasões e até mesmo falta de prudência, pode permitir que outros (principalmente os concorrentes) se apoderem do bem mais precioso e significativo da empresa: “A informação”, e que somente com a concientização será possível adotar uma politica de segurança realmente segura.

Referências Bibliográficas

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT)– Tecnologia da Informação - Código de Prática para Gestão da Segurança da Informação: NBR ISO/IEC 17799:2001. Rio de Janeiro: ABNT,2003.

BOGHI, Cláudio, SHITSUKA, Ricardo. Sistemas de Informação: Um Enfoque Dinâmico. São Paulo: Érica, 2002.
DEZ questões para avaliar a gestão da segurança na sua organização. In: FUJITSU. 2003.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books, 2000.
FERREIRA, Aurélio Buarque de Holanda. Novo Aurélio século XXI: o dicionário da Língua Portuguesa. 3. ed. Rio de Janeiro : Nova Fronteira, 1999.
LOSS CONTROL Consultoria e Assessoria Ltda – Auto treinamento em Segurança da Informação em CD-ROM da LOSS CONTROL, CD-ROM, Loss Control, 2002.
MAÑAS, Antonio Vico. Administração de Sistemas de Informação. São Paulo: Érica, 1999.
MANUNTA, Roberto. Puzzle Seguridad Corporativa – Revista Hispánica de la Inteligencia competitiva, v.1, n.7, out 2003. Disponível em . Acesso em: 15 mai 2007.
MARTIN, James. Engenharia da Informação. Rio de Janeiro: Campus, 1991.
REZENDE, Denis Alcides, ABREU, Aline França. Tecnologia da Informação Aplicada a Sistemas de Informação Empresariais. São Paulo: Atlas, 2000.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão Executiva. Rio de Janeiro: Campus, 2003.
WIKIPEDIA. Segurança da Informação. Disponível em . Acesso em: 10 mai 2007.
Autor: Giliard Francisco da Silva

NetSaber - Artigos

A Informação: O maior patrimônio de uma organização

Artigos Relacionados

Buscar Artigos

Destaques Netsaber

Destaques Netsaber

Rede NetSaber

Sobre o Site