Atualmente, acredito que todos vocês já devam ter percebido o quanto os sistemas de informação, as tecnologias da informação e a própria computação são importantes para as pessoas, sociedades e principalmente organizações, para promover aspectos relacionados a economia, a inovação, o empreendedorismo e porque não dizer a própria evolução social e humana!
No contexto da tecnologia da informação e dos sistemas de informação, os dados e a informação assumem um papel importantíssimo, pois com eles as pessoas, sociedades e principalmente as organizações conseguem alcançar seus objetivos, sonhos, desejos, necessidades e expectativas. Não é por acaso que a frase “Data is the new oil” – traduzida: “os dados são o novo petróleo” criada por Clive Humby, um matemático londrino pesquisador e estudioso da ciência de dados, tornou-se um mantra a ser repetido pelo mundo afora, por muitos consultores, executivos e demais especialistas e entusiastas das tecnologias da informação, segurança da informação e por fim da chamada transformação digital, para expressar o significado e valor de dados e informações.
A frase criada por Humby, vêm ao longo dos últimos anos sendo utilizada para defender a tese de que os dados são tão valiosos quanto o petróleo atualmente e, que se bem trabalhados os dados, posteriormente transformados em informações, são considerados ativos que irão representar fatores de sucesso para qualquer pessoa, sociedade ou organização por meio da utilização dos sistemas de informação. Cabe aqui, apresentarmos alguns conceitos para que você possa compreender melhor o sentido e o significado dado, informação e conhecimento.
De acordo com Turban, Rainer e Potter (2007) dado ou dados (no plural) refere-se a uma descrição elementar de coisas, eventos, atividades e transações que são registrados, classificados e armazenados. Mas não são organizados para transmitir qualquer significado específico. Neste contexto, dados poderão ser qualquer fato bruto, sem sentido ou significado e, que podem ser representados por letras, números, figuras, sons ou imagens, mas, que ainda não foram organizados. Como exemplo podemos citar os valores contidos em uma planilha financeira, medida de um determinado objeto, horas trabalhadas por um colaborador, as notas de um estudante em uma disciplina e, assim por diante.
Já a informação segundo os mesmos autores, refere-se a dados que foram organizados de modo a terem significado, sentido e valor para quem a recebe e interpreta e o conhecimento consistem em dados e/ou informações que foram organizados e processados em conjunto com outros elementos tais como: entendimento, experiência, aprendizagem acumulada que por sua vez irá gerar valor a quem o tem. Ou seja, o conhecimento nada mais é do que a informação processada e transformada em experiência pelo indivíduo.
Neste contexto, percebe-se que dados e informações são bens ou ativos que possuem um grande valor para as pessoas, sociedades e principalmente organizações, pois deles é obtido o conhecimento e, por serem então a matéria-prima para o conhecimento, dados e informações devem ser protegidos contra quaisquer tipos de ameaças, principalmente aquelas presentes nos meios digitais e nos sistemas e tecnologias da informação.
Tanto se fala e se escuta o termo “Tecnologia da Informação” ou simplesmente “TI”. Mas, afinal você saberia dizer o que é a Tecnologia da Informação? Bem, a Tecnologia da Informação (TI) pode ser compreendida como a relação de recursos de informação de uma organização, seus colaboradores e a gestão que os supervisiona. Na TI está presente toda a infraestrutura de informações e sistemas de informações de um ambiente organizacional e pode ser entendida como o conjunto de recursos e serviços tecnológicos, informáticos ou computacionais que são utilizados para que a organização possa gerar e utilizar a informação.
A TI atualmente é sem dúvida um dos componentes mais importantes e valiosos para qualquer tipo de organização e/ou modelo de negócio, pois dela as organizações podem alcançar seus objetivos estratégicos e operacionais, bem como levar aos seus clientes produtos e serviços que realmente atendam às suas necessidades e expectativas. É importante ressaltar que de acordo com Lastres e Albagli (1999), uma organização encontra-se atualmente em um ambiente dinâmico e o sucesso dela em superar obstáculos e alcançar seus objetivos estratégicos, dependem principalmente dos recursos providos pelas tecnologias da informação, incluindo dados e informações e, da forma como esses serão utilizados, o que a torna uma organização baseada no conhecimento.
Para que você possa atuar como um profissional nas áreas da segurança da informação ou segurança cibernética, é preciso saber sobre alguns conceitos que são considerados alicerces para a proteção das tecnologias da informação.
Ambos os conceitos podem de forma genérica serem compreendidos como a proteção dos ativos de TI, incluindo dados e informações. Porém, a segurança da informação implementa uma proteção mais ampla se comparada com a segurança cibernética, que por sua vez concentra-se na proteção dos mesmos ativos no espaço cibernético, ou seja, na Internet.
De acordo com a norma ISO 27002:2015 a segurança da informação é a proteção da informação contra os mais diversos tipos de ameaças para garantir a continuidade dos negócios, minimizando os riscos e maximizando o retorno sobre os investimentos e as oportunidades de negócio. Ou seja, podemos dizer que a segurança da informação trata-se de um conjunto de mecanismos, técnicas, práticas, procedimentos e normas que irão não só orientar mais também atuar na proteção do conjunto de ativos de TI, compostos por tecnologias, processos e pessoas – incluindo dados e informações contra a perda de um ou mais princípios relacionados à confidencialidade, integridade e disponibilidade, considerados os pilares mais básicos e primordiais a proteção da informação, podendo ainda serem acrescentados outros princípios tais como: autenticidade, não repúdio, confiabilidade, controle de acesso, conformidade, dentre outros.
Já a segurança cibernética pode ser compreendida como uma segmentação específica da segurança da informação contendo seus conjuntos de mecanismos, metodologias, tecnologias, processos, procedimentos e normas que tem como principal objetivo, proteger os mesmos ativos de TI de uma organização contra diversos tipos de ameaças originadas do espaço cibernético, ou seja, da Internet, incluindo os processos de interconexão, armazenamento e transmissão.
É importante ressaltar que ambas – segurança da informação e segurança cibernética fazem parte de um conjunto maior no qual é conhecimento como governança de TI e, possuem um objetivo comum que é diminuir as ameaças e riscos a um nível aceitável para a organização, que no geral busca-se estar próximo do nível “zero” de incidentes. Afinal, tanto dados, quanto informações são conforme vistos anteriormente ativos valiosos de uma organização, pois deles ela obtém o conhecimento!
Com relação aos conceitos de vulnerabilidade, ameaça e risco, ambas as seguranças – da informação ou cibernética, consideram:
Vulnerabilidade – como uma fraqueza – fragilidade, ou ponto fraco presente em um ou mais ativos de TI e, que pode após ser explorada por uma ou mais ameaças comprometer a confidencialidade, integridade ou disponibilidade do ativo explorando, trazendo como consequência algum tipo de falha ou dano ou impacto não desejável, que possa impossibilitar o mesmo de atuar de forma correta, causando assim um incidente de segurança que pode levar a algum tipo de prejuízo a organização, seja: financeiro, operacional, de marca ou reputação, ou qualquer outro tipo.
Como exemplo de algumas vulnerabilidades em TI, podemos citar: bugs em sistemas operacionais, senhas sem complexidade, falta de atualizações em sistemas/aplicativos, falta de programas de treinamento e conscientização sobre segurança da informação ou segurança cibernética, políticas de segurança mal planejadas, criadas ou implementadas, dentre outros… Neste contexto as vulnerabilidades devem ser eliminadas ou mitigadas e, este deve ser foco central das equipes segurança da informação ou segurança cibernética. Afinal, um incidente de segurança sempre irá começar por uma exploração de um ponto fraco por parte de uma ameaça.
Ameaça – qualquer agente ou ator que explore uma ou mais vulnerabilidades, com o potencial de causar algum evento ou impacto não desejável que traga como consequência algum dano ou perda a organização. É importante ressaltar que com relação a ameaças, elas podem ser de diversos tipos e formas, sendo as mais comuns as ameaças do tipo virtuais, tais como vírus de computadores e códigos maliciosos e, as ameaças humanas tais como os criminosos cibernéticos, classificados como hackers e crackers.
Risco – é o resultado decorrente das variáveis: ameaças x vulnerabilidade x probabilidade e impacto. Ou seja, é a concretização de um evento em que o resultado pode ser classificado como um evento positivo ou negativo para a organização. Para a segurança da informação e segurança cibernética um risco é considerado um evento negativo que irá se concretizar causando algum incidente de segurança e consecutivamente algum dano não desejável à organização. Existem diversos tipos de riscos, sendo os mais comuns, os riscos cibernéticos, riscos financeiros, riscos operacionais, riscos técnicos e riscos humanos (involuntários ou não).
Como exemplo podemos citar: falhas na execução de rotinas de backup/restore de dados; falta de planos de continuidade de negócios ou de recuperação de desastres; sistemas desatualizados ou sem correção de bugs, dentre outros…