A proposta de falar de Segurança da Informação nas organizações nos dias de hoje tem passado por abordagens dos mais variados tipos, mas a grande maioria tem em comum a proteção baseada em problemas. Em outras palavras, as ações de Segurança da Informação estão sempre correndo atrás dos problemas, mas em poucos casos existe a antecipação. O planejamento de ações deve levar em conta a principal informação para se “fazer” segurança: uma matriz de risco consistente.
Mas como isso deve ser encarado pelos profissionais de segurança?
O primeiro ponto a ser atacado é o medo de tratar de Segurança da Informação. A palavra “Segurança” por sua própria natureza possui um sentimento negativo, assim como bombeiros, polícia, ambulância. Por que? Muito simples, o que lembra a palavra Bombeiros? Se você responder que lembra de um gatinho preso em uma árvore, tenha certeza que está no mundo errado. A grande maioria das pessoas vai dizer que se lembra de incêndios, acidentes, resgate de feridos e afogamentos e assim por diante.
Além disso, a segurança sempre é aplicada onde há RISCO de alguma coisa fora do normal acontecer. Basta pensar assim, por que :
• Colocamos grades nas janelas de nossas casas;
• Alarmes em nossos carros;
• Telas de proteção em janelas de apartamentos;
• Antivírus nos computadores;
• E assim por diante ...
Mas como definimos este RISCO? Em praticamente todos os casos foi por experiência própria ou dos outros, mas nunca com base em uma matriz de risco consolidada e consistente, alinhada.
Mas dentro das organizações não estamos fazendo diferente, ainda aplicamos controles de segurança devido a problemas conhecidos (experienciados ou não), e ainda por cima, nem sempre alinhado com as expectativas reais que nosso negócio exige. Já foi abordado em outro artigo a Quebra de Paradigma da Segurança da Informação (Segurança de Redes X Segurança da Informação), mas a inércia nas organizações ainda é muito grande e poucos conseguiram dar um passo a mais neste sentido.
Mas afinal de contas, o que se deve proteger então?
A resposta é direta: A Informação em todas as suas formas. Podemos definir Informação como a comunicação ou recepção de conhecimento ou inteligência. Ela se tornou tão importante em nossos dias que já é uma commodity (artigo, mercadoria) valiosa da nossa sociedade. Todos querem trocar informações (de qualquer tipo e formato). E a sua existência se tornou tão básica que basta tentar realizar qualquer atividade (ou processo de negócio) e não ter a informação disponível: é um caos.
Atualmente a informação possui os mais diversos formatos, como: Texto escrito (Papéis impressos, Documentos Eletrônicos, Mensagens Telefônicas); Palavra falada (Conversa telefônica, Almoço de Negócios, Palestras); Imagens de vídeo/foto (Fotografias, CFTV, WebCams). Apenas para lembrar, devemos ter medidas de segurança para todos estes formatos quando necessário.
E como a informação é tratada como um ativo de negócio? Simples, pelo seu valor a organização. A informação é conhecimento ou inteligência, mas seu valor é determinado pelo receptor. Existem exemplos claros de equipamentos contendo informações que foram “furtados” de organizações, mas o “ladrão” não sabia o que tinha em mãos, além do equipamento. Conhecemos outros casos onde o “estrago” foi enorme, pois havia sido feita a encomenda da informação.
Hoje a informação já é tratada como fator de produção (além de: capital, trabalho e matéria prima), e se tornou um ativo de negócio com alto valor agregado. Um ativo de negócio pertence a uma organização, possui custo monetário e certo valor. Podemos listar vários tipos de ativos de negócio que uma organização possui, como:
• Informação (Documentos, Banco de dados, Contratos, Documentação de sistemas, Procedimentos, Planos, etc.)
• Programas de Computadores (Aplicativos, Sistemas operacionais, Softwares)
• Equipamentos (Servidores, Desktops, Laptops, Componentes de rede, cabeamento)
• Mídias (CD-ROM, DVD-ROM, Drives móveis)
• Serviços (Internos, Externos)
• Recursos Humanos (Pessoas, Conhecimento, Inteligência)
• Não tangíveis (Imagem, Reputação, Mercado)
Mas como protegemos estes ativos? Através de Controles de Segurança da Informação. Os controles são divididos em três tipos: Físicos, Técnicos e Organizacionais. A norma ISO/IEC 27002:2005 estabelece 39 objetivos de controle (processos) e 133 controles para serem aplicados em ativos de negócio, entre eles podemos listar:
• Controles Físicos (Segurança Física, Áreas de Proteção, Alarmes, Proteção contra incêndio)
• Controles Técnicos (Gerenciamento de Acesso Lógico, Criptografia, Segurança nos Sistemas de Arquivos)
• Controles Organizacionais (Políticas de Segurança, Pessoas, Gerenciamento da Continuidade de Negócios, Gerenciamento da Comunicação e Operação)
Mas é importante saber que antes de adquirir ou implementar um controle, uma matriz de risco deve ser desenvolvida, aprimorando o uso dos controles e apresentando os mais críticos e urgentes. A matriz deve ser a base de tomada de decisão da segurança da informação. É através dela que poderemos justificar o investimento em tecnologias e serviços para efetivar a proteção dos ativos da organização e abordando a Segurança da Informação de forma estruturada, repetível, monitorada e profissional.